序 


下 


When I started wtiting SaltStack I wanted to create a system that would be useful in many vast scenatios. A system that would be able to scale to any need,small or large,and a system that would allow people to better automate 


processes far beyond the datacenter. 
To my knowledge,this is the first book on Salt to be published in ChinaI hope the contents of this book will prove valuable to those in China seeking to learn Salt Stack and that this book will be a resource to them. 


China SaltStack User Group has been lead for many years by talented individuals who I would like to express my thanks and gratitude to.The Chinese users and contributors to Salt have helped the project move forward in 


immeasurable ways! 


当 我 开始 SaltStack 项 目的 时 候 ， 其 实 是 想 构建 一 个 多 种 复杂 环境 均 可 用 的 〈 运 维 配置 管理 ) 系统 ， 可 以 做 到 按 需 扩展 ， 环 境 可 大 可 小 ， 能 够 真正 帮助 数据 中 心 更 好 地 实现 自动 化 运 维 流程 。 

据 我 所 知 ， 本 书 是 中 国 地 区 的 关于 SaltStack 的 第 一 本 书籍。 我 希望 本 书 的 出 版 可 以 帮助 中 国 地 区 那些 正在 苦 寻 SaltStack 学 习 之 路 的 朋友 们 。 

中 国 SaltStack 用 户 组 (http://www.saltstack.cn/) 自 成 立 以 来 ， 持 续 地 为 社区 做 出 了 杰出 贡献 ， 来 自 中 国 的 用 户 和 参与 者 为 推动 SaltStack 项 目的 发 展 起 到 了 不 可 估量 的 作用 ， 在 此 ， 我 深 表 感 谢 和 感激 ! 
Thomas S.Hatch 


SaltStack 公 司 创 始 人 兼 CTO 


加 | 
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为 什么 用 SaltStack 


常规 运 维 很 大 一 部 分 工作 涉及 业务 的 配置 管理 和 状态 维护 ， 目 前 ， 基 于 状态 (系统 状态 、 代 码 状 态 、 配 置 状态 和 进程 状态 ) 的 配置 管理 已 经 得 到 极 大 发 展 ， 并 且 让 运 维 有 了 很 大 的 进步 ; 出 现 了 各 种 工 
具 和 平台 ， 从 最 早 的 CFEngine 到 后 来 的 Puppet、Chef， 以 及 最 近 的 SaltStack、Ansible， 每 一 种 工具 的 出 现 都 是 为 了 满足 新 的 场景 以 及 解决 之 前 解决 不 了 的 问题 。 新 工具 的 出 现 层出不穷 ， 令 人 眼花 绑 乱 ， 在 实 
际 应 用 中 ， 这 些 工具 之 间 到 底 是 替换 还 是 结合 ， 在 每 个 特定 的 场景 以 及 选 型 的 理解 上 也 会 有 所 不 同 ， 最 终 可 能 以 完全 不 同 的 形态 进行 展示 。 


但 是 人 的 基本 特点 是 不 会 变 的 ， 就 是 我 们 都 很 懒 ， 我 们 不 想 维护 过 多 的 平台 ， 我 们 都 希望 学 习 过 程 尽 可 能 简单 ， 使 用 工具 强大 ， 二 次 开发 的 成 本 也 低 ， 从 这 几 方面 讲 ，SaltStack 可 能 是 一 个 很 好 的 选择 。 
本 书 定位 以 及 读者 对 象 


本 书 定位 为 一 本 工具 书 ， 介 绍 一 些 SaltStack 实 用 的 功能 ， 帮 助 想 了 解 和 入 门 SaltStack 的 朋友 在 较 短 的 时 间 内 ， 全 面 并 且 稍微 深入 地 了 解 SaltStack， 进 而 自己 进行 探索 深入 。 


勘误 与 支持 
由 于 作者 水 平 有 限 ， 时 间 比 较 紧 张 ， 书 中 难免 会 出 现 错误 以 及 不 准确 的 地 方 ， 希 望 读者 能 够 批评 指正 。 对 于 本 书 的 任何 问题 请 反馈 到 SaltStack 中 国 用 户 组 QQ 群 : 294953305， 我 们 会 及 时 进行 处 理 。 


本 书 相 关 代码 可 以 在 Github 上 获取 : https://github.com/cssug。 
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第 1 章 ”SaltStack 入 门 


SaltStack 是 基于 Python 开发 的 一 套 C/S 架 构 配置 管理 工具 ， 它 的 底层 使 用 ZeroM Q 消 息 队 列 pub/sub 方 式 通信 ， 使 用 SSL 证 书签 发 的 方式 进行 认证 管理 。 


号 称 世界 上 最 快 的 消息 队列 ZeroMQ 使 得 SaltStack 能 快速 在 成 干 上 万 台 机 器 上 进行 各 种 操作 ， 而 且 采 用 RSA Key 方 式 确认 身份 ， 传 输 采 用 AES 加 密 ， 这 使 得 它 的 安全 性 得 到 了 保障 。 


虽然 这 里 说 SaltStack 是 一 种 配置 管理 工具 ， 在 工作 中 我 们 可 能 会 使 用 它 去 做 一 些 配 置 管理 工作 ， 但 是 Saltstack 功 能 不 止 这 些 。 在 SaltStack 官 方 的 介绍 中 ，SaltStack 不 只 是 一 个 配置 管理 工具 ， 还 是 一 


个 做 云 计 算 与 数据 中 心 架 构 编排 的 利器 。 目 前 Salt-cloud 项 目 也 已 经 合并 到 SaltStack 主 项 目 里 面 ，SaltStack 已 经 支持 Docker 相 关 模块 。 在 友好 地 支持 各 大 云 平 台 之 后 ， 配 合 SaltStack 的 Mine 实 时 发 现 功能 
就 可 以 实现 各 种 云 平台 业务 自动 扩展 。 在 本 书后 面 的 章节 中 也 会 详细 介绍 SaltStack 在 各 个 领域 中 的 应 用 。 本 章 将 介绍 SaltStack 的 服务 架构 、 安 装 、 配 置 ， 你 会 发 现 ， 使 用 SaltStack 如 此 简便 。 


1.1 SaltStack 服 务 架构 


由 于 SaltStack 是 一 种 基于 C/S 架 构 的 服务 模式 ， 可 以 简单 地 理解 为 如 果 我 们 想 使 用 SaltStack 就 需要 在 现 有 的 环境 下 引入 与 维护 一 套 C/S 架 构 。 在 Saltstack 架 构 中 服务 器 端 叫 作 Master， 客 户 端 叫 作 
Minion， 在 我 们 理解 的 传统 C/S 架 构 中 ， 客 户 端 发 送 请 求 给 服务 器 端 ， 服 务 器 端 接收 到 请 求 并 且 处 理 完成 后 再 返回 给 客户 端 。 在 SaltStack 架 构 中 不 仅 有 传统 的 C/S 架 构 服务 模式 ， 而 且 有 消息 队列 中 的 发 布 
与 订阅 (pub/sub) 服务 模式 。 这 使 得 SaltStack 应 用 场景 更 加 丰富 。 目 前 在 实际 环境 中 一 般 使 用 SaltStack 的 C/S 架 构 进行 配置 管理 。 


在 Master 和 Minion 端 都 是 以 守护 进程 的 模式 运行 ， 一 直 监 听 配 置 文件 里 面 定义 的 ret_port (接受 minion 请 求 ) 和 publish_port (发 布 消息 ) 的 端口 。 当 Minion 运 行 时 会 自动 连接 到 配置 文件 里 面 定义 
的 Master 地 址 ret_port 端 口 进行 连接 认证 。 默 认 客户 端 请 求 id 是 socket.getfqdn0 取 到 的 值 ， 也 可 以 在 Minion 启 动 之 前 修改 Minion 的 id 值 。 关 于 整个 启动 通信 过 程 ， 大 家 可 以 使 用 debug 查 看 详细 记录 。 


C/S 架 构 如 下 : 


， Mastet 端 : 


SaltSstack@Master: salt-master -1 debug 
SaltStackQ@Master: ss -alegrep '4505|4506"' 


"Minion 端 : 


SaltStackeMinion: salt-minion -1 debug 


SaltStack 除 了 传统 的 C/S 架 构 外 ， 其 实 还 有 Masterless 架 构 ， 如 果 采 用 Masterless 架 构 ， 我 们 就 不 需要 单独 安装 一 台 SaltStack Master 机 器 ， 只 需要 在 每 台 机 器 上 安装 Minion， 然 后 采用 本 机 只 负责 对 
本 机 的 配置 管理 工作 机 制服 务 模式 。 


1.2 ”SaltStack 架 构 安 装 


经 过 对 SaltStack 的 一 些 了 解 后 ， 我 们 开始 通过 实际 操作 进一步 学 习 SaltStack。 下 面 分 别 介绍 如 何 安 装 一 个 SaltStack 服 务 架构 。 目 前 SaltStack 支 持 很 多 平台 的 安装 部 署 。 具 体 每 个 平台 的 安装 部 署 教程 
大 家 可 以 参照 官方 文档 。 在 安装 之 前 我 们 需要 先 了 解 下 SaltStack 的 一 些 软件 依赖 ， 只 有 了 解 了 安装 和 运行 SaltStack 的 依赖 ， 我 们 才能 判断 SaltStack 到 底 适 不 适合 我 们 的 生产 环境 ， 以 及 能 不 能 大 规模 地 使 


> 


tb。 


1.3 ”开始 SaltStck 之 旅 


现在 我 们 的 SaltStack 的 基础 环境 算是 部 署 完成 了 ， 接 下 来 我 们 就 从 这 个 基础 环境 开始 真正 的 SaltStack 之 旅 。 


1.4 ”熟悉 SalStack 配 置 文件 


SaltStack 的 配置 文件 分 为 Master (/etc/salt/master) 和 Minion (/etc/salt/minion) ， 下 面 我 们 分 别 介绍 相应 的 选项 。 下 面 的 选项 介绍 可 能 会 比较 枯燥 ， 所 以 采用 表格 的 形式 方便 查找 ,读者 也 可 以 
先 了 解 一 下 ， 等 需要 的 时 候 再 查找 。 


第 2 章 SaltStack 组 件 


上 一 章 我 们 了 解 了 Saltstack 的 一 些 架构 与 通信 原理 ， 也 简单 讲解 了 SaltStack 的 架构 部 署 以 及 日 常 命令 的 参数 介绍 。 从 这 章 开 始 ， 我 们 将 通过 实际 操作 去 了 解 SaltStack 的 各 个 组 件 ， 这 些 组 件 使 
SaltStack 真 正 强大 起 来 ， 对 初学 者 来 说 也 是 一 个 难点 。 


2.1 ”从 管理 对 象 说 起 


如 果 我 们 要 维护 好 一 个 庞大 的 配置 管理 系统 ， 那 么 首先 得 维护 好 我 们 的 管理 对 象 ， 在 SaltStack 系 统 中 我 们 的 管理 对 象 叫 作 Target， 在 Master 上 我 们 可 以 采用 不 同 Target 去 管理 不 同 的 Minion。 这 些 
Target 都 是 通过 去 管理 和 匹配 Minion 的 1D 来 做 的 一 些 集合 。 在 1.5.2 节 ， 我 们 介绍 了 Salt 命 令 的 Target Options 参 数 信息 。 这 些 参数 就 是 我 们 这 节 要 讲 的 Target。 


1. 正 则 匹配 


在 操作 与 管理 Minion 时 可 以 通过 正则 表达 式 来 匹配 Minion ID 的 方式 去 管理 它们 。 比 如 我 们 想 要 对 匹配 到 'Min* 字 符 串 的 Minion 进 行 操作 ， 可 以 按 如 下 代码 配置 : 


SaltSstack@Master: salt -E 'Min*' test.ping 
Minion: 

True 
Minionl : 

True 


Min* 就 是 一 个 简单 的 正则 表达 式 ， 当 然 你 也 可 以 写 出 任何 正则 表达 式 去 匹配 Minion ID。 


2. 列 表 匹 配 


SaltStack@Master: salt -L Minion,Minionl test.ping 


Minion: 
True 

Minion]1: 
True 


Minion 和 Minion1 通 过 列表 的 方式 去 指定 Minion ID， 可 直接 使 用 。 


3.Grians 匹 配 


SaltSstack@Master: salt -G 'os:MacOS' test.ping 
Minion: 

True 
Minionl: 

True 


其 中 os:MacOS， 这 里 的 对 象 是 一 组 键 值 对 ， 这 里 用 到 了 Minion 的 Grains 的 键 值 对 。 在 后 面 介绍 Grains 的 时 候 会 详细 讲解 ， 这 里 只 需要 知道 可 以 通过 键 值 对 的 方式 去 匹配 Minion ID。 当 然 SaltStack 也 
支持 正则 匹配 Grains 信 息 ， 大 家 可 以 通过 --grain-pcre 参 数 去 匹配 。 


4. 组 匹配 


SaltStack@Master: salt -N groups test.ping 
Minion: 

True 
Minionl: 

True 


在 SaltStack 系 统 中 也 可 以 提前 给 Minion 定 义 组 角色 ， 但 是 需要 提前 知道 Minion ID 信息 才能 把 它 定义 到 某 个 组 中 。groups 是 我 们 在 master 配 置 文件 中 定义 的 组 名 称 。 


nodegroups: 
groups: 'L@Minon,Minionl 


5. 复 合 匹配 


SaltSstack@Master: salt -C  'GQos:MacOS or L@Minionl' test.ping 
Minion: 

True 
Minion]l: 

True 


os:MacOs or L@ Minion1 是 一 个 复合 组 合 ， 支 持 使 用 and 和 or 关联 多 个 条 件 。 


6.Pillar 值 匹配 


SaltStack@Master: salt -I 'key:value' test.ping 
Minion: 

True 
Minionl : 

True 


key:value 是 Pillar 系 统 中 定义 的 一 组 键 值 对 ， 跟 Grains 的 键 值 对 类 似 。 在 下 面 的 章节 里 面 我 们 也 会 详细 介绍 SaltStack 中 的 Pillar 系 统 。 


7.CIDR 匹 配 


Saltstack@Master: salt -S '192.168.1.0/24' test.ping 
Minion: 

True 
Minionl : 

True 


192.168.1.0/24 是 一 个 指定 的 CIDR 网 段 ， 这 里 CIDR 匹 配 的 IP 地 址 是 Minion 连 接 Matser 4505 端 口 的 来 源 地 址 。 


Target 参 数 总 结 见 表 2-1。 


表 2-1 Target 参 数 


参数 匹配 模式 例子 


| 
L; L@®Minion,Minion1,Minion2,Minion3 
G Gos:Ubuntu 
EB@Minionl1 3 
Pp Pos:(Centos\Fedora\CentOS) 
I I@key:value 
S S@192.168.1.0/24 or S@192.168.1.100 
R R(@%foo.bar 
© Gos:MacOS or LQMinion1l 


2.2 ”管理 对 象 属性 


Minion 的 一 些 常 


应 


Grains 是 SaltStack 组 件 中 非常 重要 的 组 件 之 一 ， 因 为 我 们 在 做 配置 部 署 的 过 程 中 会 经 常 使 用 它 ，Grains 是 SaltStack 记 录 Minion 的 一 些 静 态 信息 的 组 件 ， 我 们 可 以 简单 地 理解 为 Grains 里 面 记录 着 每 台 


“ 通过 Minion 配 置 文件 定义 。 


“ 通过 Grains 相 关 模 块 定义 。 


“ 通过 Python 脚本 定义 。 


我 们 也 会 在 第 4 章 “ 扩 


展 SaltStack 组 件 ” 中 详解 如 何 通过 Python 脚本 去 定义 一 些 Grains 信 息 。 首 先 ， 简 单 了 解 Grains 相 关 的 命令 用 法 : 


属性 ， 比 如 CPU、 内 存 、 磁 盘 、 网 络 信息 等 ， 我 们 可 以 通过 grains.items 查 看 某 台 Minion 的 所 有 Grains 信 息 ，Minions 的 Grains 信 息 是 Minions 启 动 的 时 候 采 集 汇报 给 Master 的 ， 在 实际 
环境 中 我 们 需要 根据 自己 的 业务 需求 去 自 定义 一 些 Grains， 关 于 自 定义 Grains 的 常用 方法 有 以 下 几 种 : 


SaltStacke@Master: salt 'Minion' sys.list functions grains 
Minion: 
- grains.append 


和 


grains.delval 
grains.filter by 
grains.get 
grains.get or set hash 
grains.has value 
grains.item 
grains.items 
grains .1s 

grains .remove 
grains .setVal 
grains.setvals 


详细 


法 与 例子 大 家 可 以 通过 命令 salt'Minion'sys.doc grains 查 看 ， 这 里 就 不 一 一 解释 了 。 


2.3 数据 管理 中 心 


拉 


Pillar 也 是 SaltStack 组 件 中 非常 和 


届 ， 比 如 软件 版 本 号 、 
一 些 参数 : 


要 的 组 件 之 一 ， 是 数据 管理 中 心 ， 我 们 经 常 配合 states 在 大 规模 的 配置 管理 工作 中 使 
名 密码 等 信息 ， 它 的 定义 存储 格式 跟 Grains 类 似 ， 都 是 YAML 格 式 。 下 面 我 们 就 讲解 如 何 定义 一 些 Pilar 值 。 在 Master 配 置 文件 中 有 一 段 Pillar settings 选 项 专门 定义 Pillar 相 关 的 


它 ，Pillar 在 SaltStack 中 3 


要 的 作用 就 是 存储 和 定义 配置 管理 中 需要 的 一 些 数 


#pillar roots: 
# base: 


# 


- /srv/pillar 


现在 我 们 只 需要 了 解 pillar_roots 相 关 的 配置 即 可 ， 默 认 Base 环 境 下 Pillar 的 工作 目录 在 /srwpillar 目 录 下 。 如 果 你 想 定义 多 个 环境 不 同 的 Pillar 工 作 目 录 ， 只 需要 修改 这 处 配置 文件 即 可 。 下 面 我 就 用 默认 
的 配置 ， 首 先 去 pillar 工 作 目录 新 建 top.sls 文 件 然后 引用 两 个 sls 文 件 : 


SaltSstack@Master: cat /srv/pillar/top.sls 


base: 


坦 指定 环境 


下 #Target 


- Packages  # 引 用 packages.sls 或 者 packages/init.sls 
一 Services  # 引 用 services.sls 或 者 services/init.sls 


Saltstack@Master: cat /srv/pillar/packages.sls 
Zabbix: 

package-name: zabbix 

version: 2.2.4 
Saltstack@Master: cat /srv/pillar/services.sls 
Zabbix: 

port: 10050 

user: admin 


大 家 可 以 通过 以 下 命令 查看 关于 Pillar 相 关 的 一 些 模块 用 法 : 


SaltSstack@Master: salt 'Minion' sys.list functions pillar 
Minion: 


pillar.data 
pillar.ext 
pillar.get 
pillar.item 
pillar.items 
pillar.raw 


来 看 查看 一 下 刚刚 定义 的 pillar: 


详细 用 法 与 例子 可 以 通过 命令 salt'Minion'sys.doc pillar 查 看 。 下 | 
SaltStack@Master: salt 'Minion' pillar.item zabbix 
Minion: 
Zabbix 
package-name: 
Zabbix 
port: 
10050 
user; 
admin 
Version: 
2.4 


这 个 时 候 我 们 就 可 以 查看 到 刚才 定义 的 Pillar 值 。 当 然 Saltstack 也 支持 从 外 部 读 取 Pilar 数 据 。 我 们 可 以 把 Pillar 数 据 存在 数据 库 或 者 存储 服务 器 上 。 目 前 官网 也 已 经 
章 中 有 相关 的 介绍 。 


2.4 针对 管理 对 象 操 作 


带 24 种 ext_pillar 数 据 源 了 。 在 第 4 


Module 是 我 们 日 常 使 用 Saltstack 接 触 最 多 的 一 个 组 件 ， 是 用 于 管理 对 象 操作 的 ， 这 也 是 Saltstack 通 过 Push 的 方式 进行 管理 的 入 口 ， 比 如 我 们 日 常 简单 的 执行 命令 、 查 看 包 安 装 情况 、 查 看 服务 运行 情 


况 等 工作 都 是 通过 SaltStack Module 来 实现 的 。 默 认 安装 好 Master 和 Minion 包 之 后 ， 系 统 上 会 安装 很 多 Module， 大 家 可 以 通过 以 下 命令 查看 支持 的 所 有 Module 列 表 。 


1. 查 看 所 有 module 列 表 


查看 Minion 支 持 的 所 有 module 列 表 的 命令 如 下 : 


SaltSstack@Master: salt 'Minion' sys.list modules 
Minion: 
aliases 

apache 

archive 

at 

blockdev 

buildout 

cloud 

此 处 省 略 N 行 


本 是 证 本 


2. 查 看 指定 module 的 所 有 function 


查看 cmd module 的 所 有 function 的 命令 如 下 : 


SaltSstack@Master: salt 'Minion' sys.list functions cmd 

Minion: 
- cmd.exec code 

cmd.has exec 

cmd.retcode 

cmd.run 

cmd.run all 

cmd.run chroot 

cmd.run stderr 

cmd.run stdout 

cmd. script 

cmd.script retcode 

cmd.tty 

cmd.which 

cmd.which bin 


| 


3. 查 看 指定 module 用 法 


查看 cmd module 的 详细 用 法 与 例子 的 命令 如 下 : 


SaltStack@Master: salt ‘'Minion' sys.doc cmd 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15455/OEBPS/Text/.. .此 处 省 略 N 行 http://www.hzcourse.com/resource/readBook?path=/openresourc 


'cmd.which:" 
Returns the path of an executable available on the minion, None otherwise 
CLI Example: 
salt '*' cmd.which cat 
"cmd.which bin:" 
Returns the first command found in a list of commands 
CLI Example: 
salt '*' cmd.which bin '[pip2, pip, pip-python]' 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15455/OEBPS/Text/.. .此 处 省 略 N 行 http://www.hzcourse.com/resource/readBook?path=/openresourc 


Saltstack 默 认 也 支持 一 次 执行 多 个 Module，Meodule 之 间 通 过 ， 隔 开 即 可 ， 默 认 传 参 之 间 也 是 用 ， 分 隔 ， 也 支持 指定 传 参 分 隔 符号 --args-separator=@ 即 可 : 


SaltStack@Master: salt 'Minion' test.echo,cmd.run,service.status saltbook,hostname,salt-master 
Minion: 


service.status: 
True 

test .echo: 
saltbook 


2.5 ”配置 管理 从 这 里 开始 


States 是 SaltStack 中 的 配置 语言 ， 在 日 常 进行 配置 管理 时 需要 编写 大 量 的 States 文 件 。 比 如 我 们 需要 安装 一 个 包 ， 然 后 管理 一 个 配置 文件 ， 最 后 保证 某 个 服务 正常 运行 。 这 里 就 需要 我 们 编写 一 些 
states sls 文 件 (描述 状态 配置 的 文件 ) 去 描述 和 实现 我 们 的 功能 。 这 里 需要 说 明 的 是 编写 的 states sls 文 件 都 是 YAML 语 法 。 当 然 states sls 文 件 也 支持 使 用 Python 语言 来 编写 ， 后 面 2.9 节 “Renderer 组 


件 ”会 有 相关 介绍 。 其 实 编写 states sls 文 件 并 不 难 ， 官 方 已 经 提供 了 大 量 的 示例 ， 我 们 只 需要 记 住 编写 格式 ， 然 后 根据 自己 的 实际 需求 去 编写 适合 自己 业务 的 states sls 文 件 。 下 面 我 们 先 来 了 解 下 如 何 编写 


states sls 文 件 。 


1. 查 看 所 有 states 列 表 


要 查看 Minion 支 持 的 所 有 states 列 表 ， 命 令 如 下 所 示 : 


SaltStackQ@Master: salt 'Minion' sys.list state modules 
Minion: 
~- aliases 


blockdev 
buildout 
cloud 


ji 


因为 模块 多 ， 这 里 仅 显 示 部 分 示例 。 


2. 查 看 指定 states 的 所 有 function 


查看 file.states 的 所 有 function， 命 令 如 下 所 示 : 


SaltStack@Master: salt "Minion' sys.list state functions file 
Minion: 


file. 
file. 
file. 
file. 
file. 
file。 
file. 
file. 


absent 
accumulated 
append 
blockreplace 
comment 
COPY 
directory 
exists 
file.managed 
file.missing 
file.mknod 

file.mod run check_ cmd 
file.patch 
file.prepend 
file.recurse 
file.rename 
file.replace 
file.sed 
file.serialize 
file.symlink 
file.touch 
file.uncomment 


和 


3. 查 看 指定 states 用 法 


要 查看 file.states 的 详细 用 法 与 例子 ， 命 令 如 下 所 示 : 


SaltStackQeMaster: salt  'Minion'" 


Minion: 


sys.state doc file 


由 于 结果 显示 行 数 较 多 ， 这 里 没有 贴 出 来 。 里 面 会 详细 介绍 file 所 有 states 资 源 的 


4 .查看 指定 states 指 定 function 用 法 


法 与 例子 ,命令 如 下 所 示 : 


要 查看 file.managed states 的 详细 


法 与 介绍 ， 在 我 


日 常 编写 states 工 作 中 只 需要 按照 例子 编写 即 可 。 


SaltSstack@Master: salt "Minion' sys.state doc file.managed 
Minion: 
5. 从 一 个 简单 的 实例 去 了 解 states 


上 面 介绍 的 那些 都 是 关于 日 常 我 们 怎么 去 查看 states 相 关 的 知识 ， 现 在 我 们 就 通过 一 个 很 简单 的 例子 去 实现 一 个 简单 的 配置 管理 工作 ， 这 里 引入 例子 只 是 为 了 简单 介绍 states 的 一 些 流程 与 使 有 
SaltStack 做 配置 管理 。 首 先 介绍 使 用 states 


节 我 们 会 通过 比较 经 典 的 配置 部 署 实例 来 了 解 我 们 真正 在 工作 中 怎么 去 使 


“ 编写 top.sls 文 件 ( 非 必须 ) 。 


' 编写 states.sls 文 件 。 


的 流程 : 


， 后 续 章 


在 大 规模 的 配置 管理 工作 中 ， 我 们 需要 编写 大 量 的 states.sls 文 件 。top.sls 是 states 系 统 的 入 口 文件 ， 它 在 大 规模 配置 管理 工作 中 负责 指定 哪些 设备 调用 哪些 states.sls 文 件 。 比 如 我 们 维护 着 一 套 LAMP 


架构 ( 跨 机 器 ) ， 我 们 编写 了 很 多 states.sls 文 件 ， 这 个 时 候 我 需要 一 键 部 署 整个 LAM 


文件 去 指定 Web 机 器 和 DB 机 器 分 别 去 引 上 


P 环 境 ， 这 里 就 需要 states.sls 的 top.sls 入 | 


哪些 states.sls 文 件 。 前 面 也 说 了 


top.sls 入 口 
one.sls states 文 件 : 


文件 不 是 必须 的 ， 如 果 我 们 只 需 简单 对 某 台 机 器 进行 配置 管理 工作 ， 我 们 可 以 直 


接 使 


state.sls 命 令 指 定 states.sls 文 件 即 可 。 我 们 先 在 states 的 工作 目录 (base 环 境 默 认 在 /srv/salt) 下 新 建 一 个 


SaltStack@Master: cat /srv/salt/one.sls 
/tmp/foo.conf: #id 
file.managed: #file states 的 managed function 


- source: salt://foo.conf # 文 件 来 源 (salt:// 代 表 states 的 工作 目录 ) 
- user: root # 文 件 属 主 

— group: root # 文 件 属 组 

— mode: 644 # 文 件 权限 

— backup: minion # 备 份 原文 件 


这 就 是 一 个 简单 的 文件 管理 states.sls 文 件 ， 我 们 可 以 通过 上 面 介 绍 的 方法 查看 file.managed 更 多 的 参数 ， 这 个 states.sls 文 件 的 功能 就 是 实现 对 Minion 的 /tmp/foo.conf 文 件 进行 统一 管理 。 下 面 我 就 可 


以 在 states 的 工作 目录 下 新 建 一 个 foo.conf 文 件 ， 然 后 对 Minion 进 行 配置 部 署 : 


SaltStack@Master: echo "SaltStack Books" > /src/salt/foo.conf 
SaltSstack@Master: salt 'Minion' state.sls one 

Minion: 

: /tmp/foo.conf 

: file.managed 

; True 

Comment: File /tmp/foo.conf updated 

Started: 12:01:51.502088 

Duration: 225.526 ms 

Changes: 


Succeeded: 1 
Failed: 0 


(changed=1) 


Total states run: 1 


到 这 里 就 完成 了 对 Minion 机 器 的 简单 文件 管理 。 下 面 我 们 来 介绍 使 


top.sls 入 


文件 同时 对 多 人 台 机 器 进行 一 个 简单 的 配置 管理 。 首 先 在 states 的 工作 目录 下 新 建 top.sls 文 件 : 


Saltstack@Master: cat /src/salt/top.sls 
base: #base 环 境 
TR #Target (代表 所 有 Traget) 
- one # 引 用 one .sls 或 者 one/init.sls states 文 件 
'Minion': #Target (代表 匹配 Minion) 
一 tow # 引 用 tow.sls 或 者 Low/init.sls states 文 件 
'Minion1': #Target (代表 批量 Minion1) 
- three # 引 用 three.sls 或 者 three/init.sls states 文 件 


然后 我 们 新 建 三 个 states 文 件 : one.sls、tow.sls、three.sls， 最 后 我 们 就 可 以 使 


state.highstate 命 令 同 时 对 Minion 和 Minion1 两 台 机 器 进行 配置 管理 了 。 


2.6 执行 结果 处 理 


Return 组 件 可 以 理解 为 SaltStack 系 统 对 执行 Minion 返 回 后 的 数据 进行 存储 或 者 返回 给 其 他 程序 ， 它 支持 多 种 存储 方式 ， 比 如 用 MySQL、MongoDB、Redis、Memcache 等 ， 通 过 Return 我 们 可 以 对 
SaltStack 的 每 次 操作 进行 记录 ， 对 以 后 日 志 审 计 提供 了 数据 来 源 。 目 前 官方 已 经 支持 30 种 Return 数 据 存储 与 接口 ， 我 们 可 以 很 方便 地 配置 与 使 用 它 。 当 然 也 支持 自己 定义 的 Return。 在 后 面 的 章节 我 们 会 
给 大 家 介绍 如 何 使 用 Python 语言 扩展 一 个 适合 自己 需求 的 Return。 在 选择 和 配置 好 要 使 用 的 Return 后 ， 只 需 在 salt 命 令 后 面 指定 Return 即 可 。 


1. 查 看 所 有 Return 列 表 


代码 如 下 : 


SaltStack@Master: salt 'Minion' sys.list returners 
Minion: 

- carbon 

- couchdb 

- etcd 

— local 

- local_ cache 

— multi returner 

-smtp 

- sqlite3 

- syslog 


这 里 显示 的 不 是 很 全 。 所 有 的 Return 列 表 可 以 去 官网 查看 ， 上 面 已 经 详细 介绍 了 如 何 配置 与 使 用 Return。 


2.Return 流 程 


Return 是 在 Master 端 触发 任务 ， 然 后 Minion 接 受 处 理 任务 后 直接 与 Return 存 储 服务 器 建立 连接 ， 然 后 把 数据 Return 存 到 存储 服务 器 。 关 于 这 点 大 家 一 定 要 记 住 ， 因 为 这 个 过 程 都 是 Minion 端 操作 存储 
服务 器 ， 所 以 要 确保 Minion 端 的 配置 跟 依赖 包 是 正确 的 。 


3. 使 用 Redis 作 为 Return 存 储 方式 


这 里 我 们 就 借用 官网 的 例子 来 熟悉 下 怎么 使 用 Return。 这 里 我 选择 Redis 作 为 Return 结 果 的 存储 方式 。 如 果 你 了 解 整个 Return 的 流程 后 ， 就 知道 我 们 需要 改 哪些 配置 了 : 
* Minion 配 置 文件 。 


“ 在 Minion 上 安装 Redis Python Client。 


首先 需要 在 Minion 配 置 文件 里 面 定义 Return 存 储 服务 器 信息 。 添 加 Redis 服 务 器 信息 即 可 ， 代 码 如 下 : 


redis.db: '0' #redis 数 据 库 
redis.host: 'vps.shencan.net' #redis 主 机 (ip 地 址 和 域名 都 行 ) 
redis.port: 6379 #redis 端 口 


Minion 配 置 文件 已 经 添加 好 了 。 然 后 我 们 再 来 安装 依赖 包 。 因 为 是 Minion 直 接 操作 Redis 服 务 器 ， 我 们 得 确保 Redis Python Client 文 件 已 经 安装 ， 代 码 如 下 : 


Saltstack@Minion: Python -c 'import redis; print redis.VERSION' 
(2, 10, 3) 


如 果 能 显示 出 版 本 号 ， 说 明 当前 Python 版 本 下 的 Redis Client 已 经 安装 好 。 如 果 提示 ImportError:No module named redis， 则 需要 安装 Redis Client。 关 于 安装 方法 可 以 参考 Redis 官 网 。 现 在 
Minion 配 置 文件 与 Redis Python Client 包 都 安装 完毕 了 。 我 们 重启 Minion 服 务 ， 如 下 所 示 : 


Saltstack@Minion: /etc/init.d/salt-minion restart 
Stopping salt-minion daemon: [确定 ] 
Starting salt-minion daemon: [确定 ] 


在 我 们 执行 Return 之 前 ， 大 家 可 以 先 登录 到 Redis 服 务 器 上 查看 Redis Monitor 人 信息。 这样 我 们 就 可 以 实时 查看 到 Redis 相 关 的 操作 。 我 们 现在 Master 上 执行 一 个 Module， 然 后 redturn 到 Redis: 


SaltSstack@Master: salt 'Minion' cmd.run 'hostname' --return redis 
Minion: 
Minion 


这 个 时 候 我 们 就 可 以 看 到 Redis 服 务 器 上 出 现 以 下 内 容 : 


SaltStack@Redis: redis-cli monitor 
OK 


1430639894.012467 "monitor™ 

1430640004.584795 "SELECT" "0" 

1430640004.743537 "SET" "Minion:20150503160014811471" "{\"fun args\": [\"hostname\"], \"jid\": \"20150503160014811471\", \"return\": \"Minion\", \"retcode\": 0, \"success\": tr 
1430640004.901449 "LPUSH" "Minion:cmd.run" "20150503160014811471" 

1430640005.059951 " " "minions" "Minion" 

1430640005.217777 "SADD" "jids" "20150503160014811471" 


关于 这 个 JSON 串 这 里 就 不 解释 了 ， 很 容易 理解 。 关 于 官网 的 其 他 例子 这 里 就 不 一 一 演示 了 。 通 过 这 个 例子 大 家 能 理解 Return 流 程 就 行 ， 配 置 方面 官网 都 有 很 详细 的 说 明 。 关 于 Return 这 里 多 说 一 点 ， 
大 家 如 果 了 解 上 面 的 流程 之 后 发 现 是 每 台 minion 跟 存储 服务 器 连接 后 发 送 返 回 数据 。 在 大 规模 的 Minion 环 境 下 并 不 适合 企业 级 应 用 。 也 有 网友 通过 event 事 件 实现 Master 端 直接 Return 到 存储 服务 器 。 参 
考 地 址 为 : http://pengyao.org/saltstack_master_retuner_over event _system.html。 


2.7 ” Job 管理 


在 Saltstack 里 面 执行 任何 一 个 操作 都 会 在 Master 上 产生 一 个 jid 号 。Minion 端 会 在 cache 目 录 下 的 proc 目 录 创 建 一 个 以 jid 为 名 称 的 文件 ， 这 个 文件 里 面 的 内 容 就 是 此 次 操作 的 记录 ， 当 操作 处 理 完成 后 
该 文件 会 自动 删除 。 而 Master 端 会 记录 每 次 操作 的 详细 信息 ， 这 个 记录 都 是 存 到 在 Master 庙 cache 目录 下 jobs 下 。 下 面 通过 实例 来 了 解 日 常 job 管理 。 目 前 SaltStack 提 供 salt-run 跟 moudle 两 种 方式 来 管理 
job。 


1. 通 过 salt-run 来 管理 job 


首先 我 们 来 查看 下 salt-run 对 job 管理 的 一 些 用 法 : 


SaltStackeMaster: salt-run -d |grep jobs 
"jobs .active: # 查 看 当前 正在 运行 的 Jobs 
Return a report on all actively running jobs from a job id centric 
salt-run jobs.active 


'jobs.1ist job:' # 指 定 jid 查 看 Jobs 详细 信息 
saIt-run jobs.1ist job 20130916125524463507 
"jobs.1list jobs:' # 查 看 所 有 jobs 信 息 


List all detectable jobs and associated functions 
salt-run jobs.list jobs 


"jobs.lookup jid:' # 指 定 jid 查 询 jJobs 结 果 
salt-run jobs.lookup jid 20130916125524463507 
'jobs.print job:' # 指 定 jid 查 询 jJobs 详 细 信息 


salt-run jobs.print job 


这 里 会 显示 salt-run 关 于 job 操作 的 所 有 命令 。 关 于 每 个 参数 的 解释 大 家 可 以 通过 salt-run-d jobs 来 查看 : 


SaltStack@Master: salt 'Minion' cmd.run 'sleep 100;whoami' 

^CExiting on Ctrl-C 

This job's jid is: 

20150503205732787057 

The minions may not have all finished running and any remaining minions will return upon completion. To look up the return data for this job later run: 
salt-run jobs .lookup jid 20150503205732787057 


因为 等 待 时 间 过 长 我 这 里 直接 用 Ctrl-C 了 ， 这 个 时 候 会 提示 出 此 次 任务 的 jid 号 。 我 们 可 以 随时 通过 salt-run job 管 理 来 查看 这 个 job 的 信息 。 查 询 这 个 ob 的 运行 结果 : 


SaltSstack@Master: salt-run jobs.lookup jid 20150503205732787057 
Minion: 
root 


查看 这 个 job 的 详细 记录 : 


SaltStackeMaster: salt-run jobs.list job 20150503205732787057 
Arguments: 
- Sleep 100; whoami 
Function: 
cmd.run 
Minions : 
— Minion 
Result: 


return: 
root 


StartTime: 

2015, May 03 20:57:32.787057 
Target: 

四 


Target-type: 
glob 
User: 
root 
jid: 
20150503205732787057 


2. 通 过 SaltStack Module 来 管理 job 


在 上 面 已 经 介绍 了 通过 salt-run 可 以 对 日 常 job 进行 管理 ， 为 什么 还 要 介绍 利用 Module 来 管理 job 呢 。 因 为 salt-run 对 job 管理 功能 比较 局 限 ， 上 面 我 们 也 看 到 了 目前 salt-run 还 不 支持 kill 某 个 job。 现 在 
我 们 就 开始 介绍 使 用 SaltStack 自 带 的 Module 来 管理 job。 首 先 查看 相关 Module 的 用 法 : 


SaltStack@Master: salt \* sys.doc saltutil |grep job 
'saltutil.find cached job:' # 查 询 jJob cache 信 息 
Return the data for a specific cached job id 
salt '*' saltutil.find cached job <job id> 
'saltutil.find job:" “# 查 看 job 信 息 
Return the data for a specific job id 
salt '*' saltutil.find job <job id> 
'saltutil.kill job:' # 杀 掉 job (发 送 SIGTERM 9 信号 方式 ) 
Sends a kill signal (SIGKILL 9) to the named salt job's process 
salt '*' saltutil.kill job <job id> 
salt '*' saltutil.runner jobs.list jobs 
'saltutil.signal job:"' # 发 送 指定 信号 
Sends a signal to the named salt job's Process 
salt '*' saltutil.signal job <job id> 15 
"saltutil.term job:' # 册 掉 job (发 送 SIGTERM 15 信 号 方式 ) 
Sends a termination signal (SIGTERM 15) to the named salt job's process 
salt '*' saltutil.term job <job id> 


我 们 接着 按照 上 面 的 例子 来 测试 : 


SaltStack@Master: salt 'Minion' cmd.run 'sleep 100;whoami' 

^CRxiting on Ctrl-C 

This job's jid is: 

20150503212104767222 

The minions may not have all finished running and any remaining minions will return upon completion. To look up the return data for this job later run: 
salt-run jobs.lookup jid 20150503212104767222 


使 用 Module 来 管理 job: 


Saltstack@Master: salt 'Minion' saltutil.find job 20150503212104767222 
Minion: 


— Sleep 100; whoami 
cmd.run 
jid: 
20150503212104767222 


17812 


我 们 还 可 以 直接 kill 掉 这 个 job: 


SaltStack@Master:salt 'Minion'saltutil.kill job 20150503212104767222 
Minion: 
Signal 9 sent to job 20150503212104767222 at pid 17880 


2.8 ”Event 和 Reactor 系 统 


Event 是 SaltStack 里 面 的 对 每 个 事件 的 一 个 记录 ， 它 相 比 job 更 加 底层 ，Event 能 记录 更 加 详细 的 SaltStack 事 件 ， 比 如 Minion 服 务 启动 后 请 求 Master 签 发 证 书 或 者 证 书 校 验 的 过 程 ， 都 能 通过 Event 事 
件 来 查看 整个 过 程 。Event 也 为 扩展 SaltStack 提 供 了 更 加 友好 的 接口 。 目 前 官方 已 经 列 出 一 些 Event 事 件 ， 包 括 认 证 ，Minion 连 接 Master，key 认 证 ，job 等 。 大 家 可 以 去 官网 查看 详细 介绍 。 


1. 查 看 Event 事 件 


可 以 通过 以 下 命令 查看 Event 事 件 ， 然 后 再 开 一 个 终端 执行 任务 : 


SaltStack@Master: salt-run state.event pretty=True 
20150503214552798453 { 
"_stamp": "2015-05-03T13:45:52.800892", 
"minions": [ 
"Minion" 


: "2015-05-03T13:45:52.801620", 
1 
3 test Pingny 
: "20150503214552798453", 
"minions": [ 

"Minion" 


]， 

"tgt": mm, 

"tgt type": "glob", 
"user": "root" 


} 

salt/job/20150503214552798453/new 
"_stamp": "2015-05-03T13:45:52.802754", 
"arg": [], 
"fun"s "testping", 
"jid": "20150503214552798453", 
"minions": [ 

"root" 

]， 

"tgt™: wn, 


"tgt_ type": "glob", 
mser": "root™” 


这 个 时 候 可 以 看 到 每 个 Event 事 件 的 详细 信息 ， 包 括 job key 校 验 等 信息 。 
2. 在 Master 上 配置 Reactor 


在 前 面 我 们 已 经 简单 了 解 Event 后 ， 接 下 来 开始 讲解 Reactor 系 统 。Reactor 是 基于 Event 的 每 个 事件 来 做 相应 的 操作 (states) 。 我 们 可 以 理解 Reactor 系 统 是 一 直 监 听 着 Event， 然 后 触发 一 些 States 操 
作 。 下 面 我 通过 一 个 例子 来 讲解 下 Reactor 系 统 的 适用 场景 吧 。 在 我 们 日 常 大 规模 新 机 器 上 线 或 者 初始 化 机 器 的 时 候 ， 都 希望 Minion 第 一 次 服务 起 来 的 时 候 就 能 完成 所 有 的 配置 ， 这 个 时 候 需 要 自动 完成 
Minion 的 证 书签 发 和 根据 不 同 的 业务 完成 不 同 states 配 置 。 恰 好 Reactor 就 是 干 这 个 事情 的 。 


在 Master 配 置 文件 里 面 添加 如 下 内 容 : 


reactor: 
—- 'salt/auth': # 监 听证 书 认证 event 
一 /srv/reactor/Minion.sls # 执 行 states sls 文 件 
=- 'salt/minion/Minion/start': # 监 听 Minion start event 
- /srv/reactor/auto.sls # 执 行 states sls 文 件 


关于 Event 的 定义 ， 大 家 可 以 通过 上 一 章节 对 Event 的 了 解 根据 需要 监听 的 Event 来 进行 相应 的 配置 。 当 然 Reactor 里 面 对 Event 的 监听 还 支持 正则 表达 式 的 方式 。 下 面 我 们 主要 来 看 看 这 两 个 sates.sls 文 
件 吧 : 


Saltstack@Master: cat /srv/reactor/Minion.sls 
{s if 'act' in data and data[l'act'] 一 'pend' and data['id'].startswith('Min') $%} 
key_accept: 
“wheel .key.accept: 
=- match: {{ data['id'] }} 
{SS endif 务 } 


这 个 文件 主要 是 取 Event 里 面 的 数据 ， 然 后 根据 Minion 的 ID 进行 证 书签 发 ， 我 们 在 state.sls 文 件 里 面 引入 了 jinja 相 关 的 语法 。 下 面 我 们 来 看 看 进行 初始 的 auto.sls 吧 : 


SaltStack@Master: cat /srv/reactor/auto.sls 
run state: 
local.state.sls: 
= tgts:s {{ tatal'id"] 3} 
- arg: 
— shencan 
run init; 
local .cmd.run: 
- tgt: {{ data['id'] }} 
~ 9 
- echo initsok >>/tmp/cpis 


这 个 文件 运行 了 两 个 Module， 一 个 是 state.sls 进 行 ， 一 个 是 cmd.run。 第 一 个 run_state 的 意思 跟 手动 针对 Minion 运 行 state.sls shencan 一 样 。 第 二 个 run_init 表 示 针 对 Minion 运 行 cmd.run'echo 


initok> >/tmpycpis 一样 。 下 面 我 们 来 看 下 shencan 这 个 sl 文件。 我 这 里 只 是 一 个 简单 的 文件 管理 例子 ， 大 家 在 实际 工作 中 应 根据 自己 的 需求 去 编写 states sls 文 件 : 


SaltStack@Master: cat /srv/salt/shencan.sls 
/tmp/example: 
file.managed: 
— source: salt://example 


到 这 里 ，Master 端 的 Reactor 配 置 就 算 配 置 好 了 ， 下 面 我 们 需要 重启 Master 服 务 。 这 个 时 候 可 以 新 建 一 台 Minion.Minion 的 ID， 只 要 是 以 Min 字 母 开 头 即 可 ， 当 Minion 服 务 启动 后 ，Minion 会 进行 自 
动 的 初始 配置 了 。 


2.9 Renderer 组 件 


前 面 我 们 已 经 提 过 使 用 Python 语 言 编写 state.sls 文 件 。 在 SaltStack 系 统 里 面 支持 很 多 方式 去 扩展 它 。Renderer 就 是 其 中 一 种 途径 。 默 认 SaltStack 的 Renderers 是 YAML+Jinja， 可 以 通过 查看 Master 
配置 文件 得 知 当前 的 Renderer。 目 前 SaltStck 支 持 很 多 种 Renderer， 大 家 可 以 去 官网 了 解 更 多 ， 因 为 YAML Jinja py 这 三 种 Renderer 应 用 范围 比较 广 ， 目 前 作者 对 这 几 种 比较 了 解 ， 所 以 本 书 种 大 部 分 使 用 
这 三 种 Renderer 进 行 讲解 。 


出 | 


前 面 我 们 编写 state 的 时 候 都 是 使 用 YAML Jinja 这 两 种 语法 。 这 节 我 们 开始 讲解 如 何 使 用 Python 语言 去 定义 state 文 件 : 


SaltStack@Master: cat /srv/salt/test.sls 
#!py 
def run(): 
example={} 
example['/tmp/test'] = 
"file.managed' : 
{'source':'salt://test'}, 
{'mode': '644°'}, 
{'user': 'root'}, 
{'template': 'jinja'}, 
{'group': 'root'}, 
{'context': { 
4 


证 grains ['os'], 


hs pillae [aly 


return example 


这 里 文件 的 第 一 行 是 指定 renderer， 我 们 使 用 Python 语 言 。state.sls 文 件 的 用 途 就 是 使 用 Jinja 模 版 去 同步 /tmp/test 文 件 。 通 过 Python 语 言 定义 一 个 run 函 数 (函数 名 必须 是 run) ， 函 数 最 终 返回 一 个 
dict 就 行 。 大 家 可 能 对 这 种 写法 比较 陌生 ， 下 面 我 通过 一 个 例子 把 我 们 经 常 写 的 YAML 格 式 的 state.sls 文 件 ， 通 过 Python 语法 读 取 并 打印 出 来 ， 大 家 就 会 很 快 就 熟悉 了 这 种 写法 的 : 


Saltstack@Master: cat /srv/salt/one.sls 
/tmp/foo.conf: 
file.managed: 

- source: salt://foo.conf 

- user: root 

— group: root 

— mode: 644 

=- backup: minion 
>>> import yaml,json 
>>> with open('one.sls', 'r') as f: 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15455/O0EBPS/Text/... print yaml.safe load(f) 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15455/OEBPS/Text/... 

{'/tmp/foo.conf': {'file.managed': [{'source': 'salt://foo.conf'}, T'user': 'root'}, { "group': 'root'}, {'mode': 644}, {'backup': 'minion'}]}} 

>>> with open('one.sls', 'r') as f: 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15455/OEBPS/Text/... Print json.dumps (yaml.safe load(f),indent=4) 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15455/OEBPS/Text/... 


"/tmp/foo.conf": { 
"file.managed": [ 
{ 


"source": "salt://foo.conf" 
ser": "root" 

"group": "root™ 

"mode": 644 


"backup": "minion" 


回 


通过 上 面 两 种 print， 相 信 大 家 能 认识 了 这 个 输出 与 我 们 上 面 那个 用 Python 语言 定义 的 state。 使 用 Python 编写 的 state 其 实 就 是 我 们 使 用 YAML 编 写 的 state， 使 用 Python YAML 模 块 Load 出 来 的 结果 一 
样 。 关 于 在 state 里 面 调用 Pillar Grains， 在 我 们 使 用 Python 语言 编写 的 时 候 可 以 直接 使 用 _grains__pillar_ 这 两 个 Python 方法 进行 引用 。 而 使 用 YAML 编 写 的 state 里 面 引 入 Jinja 来 调 取 
grains['key']pillar[ key')] 不 太一 样 。 下 面 我们 来 执行 使 用 Python 语言 编写 的 state 吧 


SaltSstack@Master: salt 'Minion' state.sls test 
Minion: 
ID: /tmp/test 
Function: file.managed 
Result: True 

Comment: File /tmp/test is in the correct state 

Started: 05:28:48.702103 

Duration: 172.135 ms 


Succeeded: 1 


Failed: 0 

Total states run: 1 

查看 Minion 同 步 后 的 文件 : 
SaltStack@Minion: cat /tmp/test 
CentOS 

了 


查看 Master 端 这 里 定义 的 Pillar 值 : 


SaltSstack@Master: cat /srv/pillar/top.sls 
base: 
x 
”gt 
SaltStack@Master: cat /srv/pillar/test.sls 
a:b 


使 用 Pyhton 编 写 state 跟 我 们 使 用 默认 的 YAML Jinja 的 Renderer 编 写 功能 一 模 一 样 。 大 家 可 以 根据 自己 的 喜爱 去 选择 Render 就 行 。 当 然 Saltstack 还 支持 其 他 的 Renderer， 而 且 SaltStack 还 支持 自 定义 
Renderer， 在 后 面 的 章节 我 们 也 会 有 相关 的 介绍 。 


2.10 ”其 他 组 件 


SaltStack 还 包含 其 他 很 多 功能 组 件 ， 本 章 就 不 一 一 进行 介绍 了 ， 下 面 只 挑选 了 平常 接触 比较 多 的 两 个 组 件 进行 介绍 。 


第 3 章 ”SaltStack 实 践 案例 


实践 ， 实 践 ， 再 实践 ， 这 是 熟练 掌握 SaltStack 的 真理 。 在 运 维 环境 中 上 线 Saltstack 后 ， 运 维 工作 从 繁杂 并 且 重 复 的 服务 部 署 和 配置 工作 转移 到 在 Saltstack 中 编写 和 维护 状态 文件 。 通 常情 况 下 ， 状 态 
文件 一 次 编写 就 可 以 在 大 多 数 环境 下 执行 ， 所 以 在 编写 状态 文件 的 时 候 需要 尽 可 能 考虑 模块 化 和 通用 性 。 


为 保证 读者 能 够 快速 地 使 用 SaltStack 进 行 生产 环境 的 配置 管理 ， 本 章 将 带领 大 家 通过 SaltStack 的 配置 管理 来 实现 一 个 “中 小 型 Web 架 构 ” 的 自动 化 部 署 和 配置 管理 ， 主 要 包括 以 下 功能 和 服务 : 


系统 初始 化 

“ Haproxy 服 务 

“ Keepalived 服 务 

* Nginx 服 务 

: PHP (FastCGI) 服务 


:Memcached 服 务 


案例 架构 图 如 图 3-1 所 示 。 


Browser 


My 


Haproxy 备 


负载 均衡 RR 


Keepalived 


Session 存储 到 


图 3-1 ”实践 案例 架构 图 


在 开始 编写 之 前 ,我 们 需要 进行 合理 的 规划 ， 首 选 描述 本 案例 的 思路 ， 我们 将 按照 系统 初始 化 、 功 能 模块 、 业 务 模块 这 样 的 设计 思路 来 进行 设计 和 实施 : 
“ 系统 初始 化 : 指 的 是 操作 系统 安装 完毕 后 ， 都 需要 使 用 到 的 初始 配置 ， 比 如 安装 监控 代理 、 调 整 内 核 参 数 、 设 置 域名 解析 等 。 
“ 功能 模块 : 指 的 是 生产 使 用 到 的 应 用 ， 比 如 Nginx、PHP、Haproxy、Keepalived 等 这 类 应 用 服务 的 安装 和 管理 ， 每 一 个 功能 我 们 创建 一 个 目录 来 存放 ， 我 们 把 这 个 目录 的 集合 称 之 为 “功能 模块 ”。 


“ 业务 模块 : 在 功能 模块 中 我 们 编写 了 大 量 基 础 的 功能 状态 ， 在 业务 层面 直接 进行 引用 ， 所 以 功能 模块 就 是 尽 可 能 的 全 、 而 且 独 立 。 而 业务 模块 ， 不 同 的 业务 类 型 就 可 以 在 Include 功 能 模块 里 面 的 安装 
和 部 署 ， 每 个 业务 使 用 自己 独特 的 配置 文件 等 。 最 终 在 top.sls 里 面 我 们 只 需要 给 菜 个 Minion 指 定 一 个 业务 的 状态 即 可 。 


3.1 环境 规划 


这 里 说 的 环境 规划 包含 了 两 种 环境 : 
“ 一 是 我 们 实验 案例 中 的 网 络 和 服务 器 环境 。 


“ 二 是 SaltStack 中 他 e_roots 和 pillar_roots 定 义 的 SaltStack 的 环境 。 


3.2 YAML 编 写 技巧 


我 们 在 开始 之 前 需要 再 停 一 下 ， 为 了 保证 大 家 能 够 安全 的 畅游 在 SaltStack 的 海洋 中 ， 需 要 给 大 家 套 上 一 个 救生 圈 ， 就 是 States 的 编写 技巧 。 因 为 刚 接触 SaltStack 的 状态 管理 ， 最 苦恼 的 可 能 就 是 SLS 的 
编写 了 ， 尽 管 YAML 语 法 可 能 第 一 眼看 上 去 很 简洁 ， 但 是 真正 写 起 来 也 是 令 人 晴 惧 ， 初 学 者 很 容易 被 各 种 报错 搞 晕 ， 降 低 对 SaltStack 的 学 习 乐 趣 ， 甚 至 放弃 SaltStack， 但 是 只 要 记 住 三 个 非常 简单 的 规则 就 


可 以 快乐 地 使 用 YAML 语 法 编写 SLS 文件 了 。 


3.3 Jinja 使 用 技巧 


有 了 游泳 圈 还 是 不 够 的 ， 我 们 还 需要 一 个 氧气 瓶 ， 这 就 是 jinja 使 用 技巧 。 


3.4 系统 初始 化 


当 我 们 的 服务 器 上 架 并 安装 好 操作 系统 后 ， 都 会 有 一 些 基础 的 操作 ， 所 以 生产 环境 中 使 用 SaltStack， 建 议 将 所 有 服务 器 都 会 涉及 的 基础 配置 或 者 软件 部 署 归 类 放 在 Base 环 境 下 ， 比 如 本 例 我 们 在 Base 


环境 下 创建 一 个 Init 的 目录 ， 将 系统 初始 化 配置 的 SLS 均 放置 到 Init 目 录 下 ， 我 们 称 其 为 “初始 化 模块 ”。 


3.5 ”Haproxy 配 置 管理 


系统 初始 化 完成 后 ， 我 们 就 开始 编写 具体 的 功能 模块 了 。 我 们 参照 图 3-1 案 例 架构 图 从 上 往 下 来 进行 ， 首 先 编写 Haproxy 和 Keepalived 的 配置 管理 。 


' Haproxy 是 一 个 开源 的 高 性 能 的 反 向 代理 项 目 ， 支 持 四 层 和 七 层 的 负载 均衡 ， 多 种 负载 均衡 算法 和 健康 检查 等 。 


“ Keepalived 是 一 个 高 可 用 集群 的 项 目 ， 它 是 VRRP 协 议 的 完美 实现 ， 我 们 通过 Keepalived 来 管理 Haproxy 上 面 的 VIP。 当 主 Haproxy 发 生 故 障 时 ， 将 VIP 漂移 到 备用 的 Haproxy 上 来 继续 提供 服务 。 


Haproxy 和 Keepalived 使 用 源码 编译 安装 的 方式 ， 将 这 两 个 服务 放置 在 prod 环 境 中 。 


首先 创建 目录 结构 ， 如 下 所 示 : 


[root@saltstack-nodel ~]# mkdir /srv/salt/prod/pkg -p 
[root@saltstack-nodel ~]# mkdir /srv/salt/prod/haproxy/files -p 
[root@saltstack-nodel ~]# mkdir /srv/salt/prod/keepalived/files -p 


在 每 个 服务 的 目录 下 均 创建 一 个 files 目 录用 来 存放 源码 包 和 需要 的 相关 启动 脚本 、 配 置 文件 等 。 


3.6 ”Keepalived 配 置 管理 


首先 放置 源码 包 、Keepalived 的 启动 脚本 、sysconfig 配 置 文件 在 /srv/salt/prod/keepalived/files/ 目 录 下 。 启 动 脚本 和 配置 文件 都 可 以 从 源码 包 中 获取 到 |。 


3.7 Memcached 配 置 管理 


Memcached 是 一 个 高 性 能 的 分 布 式 内 存 对 象 缓存 系统 ， 用 于 动态 Web 应 用 以 减轻 数据 库 负 载 。 它 通过 在 内 存 中 缓存 数据 和 对 象 来 减少 读 取 数据 库 的 次 数 ， 从 而 提高 动态 数据 库 驱 动 网 站 的 访问 速度 。 


我 们 这 个 架构 案例 使 用 Memcached 来 存储 用 户 的 Session。 
我 们 经 常会 在 负载 均衡 的 环境 下 遇 到 Session 问 题 ， 一 般 的 解决 办 法 有 三 种 : 
“ Session 保 持 。 
“Session 复 制 。 
Session 共享 。 


PHP 可 以 很 容易 在 php.in 瑟 置 中 将 Session 存 储 在 Memcached 中 ， 来 实现 Session 共 享 ， 这 样 后 端 服务 器 有 节点 宕 机 ， 


户 的 访问 请 求 被 调度 到 集群 中 的 其 


他 节点 时 ， 


户 的 会 话 也 不 会 丢失 。 


Memcached 的 安装 比较 简单 。 首 先 Memcached 依 赖 于 libevent， 所 以 需要 先 编译 安装 libevent， 然 后 编译 安装 Memcached。 后 面 我 们 在 PHP 配 置 管理 中 编写 php-memcache 的 模块 。 同 时 还 需要 创 
建 一 个 管理 用 户 的 配置 ，Memcached 包 括 后 面 要 配置 的 Nginx 和 PHP， 都 要 使 用 www 用 户 进行 管理 。 


首先 创建 目录 结构 如 下 : 


[root@saltstack-nodel ~]# mkdir -P /srv/salt/prod/libevent/files 
[root@saltstack-nodel ~]# mkdir -p /srv/salt/prod/memcached/files 
[root@saltstack-nodel ~]# mkdir /srv/salt/prod/user 


3.8 Nginx 配 置 管理 


经 过 Haproxy+Keepalived 的 自动 化 配置 ， 基 本 的 流程 我 们 掌握 了 ， 下 面 就 来 进行 Nginx+ PHP 的 自动 化 配置 。 同 样 也 是 使 用 源码 包 的 方式 进行 编译 安装 。 


在 开始 编写 一 个 稍 复杂 的 状态 功能 时 ， 首 先 应 该 进行 规划 。 包 括 应 该 如 何 设计 目录 结构 ， 需 要 应 用 到 哪些 状态 模块 和 状态 间 关 系 ， 是 否 需要 使 用 Grains 和 Pillar 等 。 


Nginx+PHP (FastCGI) 需要 安装 的 包 首先 有 Nginx 和 PHP， 需 要 进行 编译 安装 ， 步 又 如 下 : 


1) 所 有 源码 包 的 编译 安装 需要 依赖 一 些 基础 软件 包 ， 像 gcc、make 这 样 的 ， 这 些 在 我 们 的 环境 做 初始 化 配置 的 时 候 已 经 编写 了 pkg-init.sls。 


2) 源码 编译 安装 Nginx 时 需要 依赖 PCRE， 所 以 需要 有 一 个 PCRE 模 块 用 来 安装 PCRE， 然 后 Nginx 进 行 include 即 可 。 


3) 需要 编译 安装 PHP， 同 时 除了 PHP 常 用 的 模块 外 ， 还 应 该 支持 如 Memcached 和 Redis 这 样 的 生产 常用 的 第 三 方 模块 ， 我 们 需要 一 个 机 制 把 它 加 进去 。 


需要 使 用 到 的 功能 如 下 : 


' 使 用 状态 模块 : file、cmd、service。 
“ 使 用 状态 间 关 系 : require、unless。 
' SLS 之 间 的 include。 


首先 需要 创建 如 下 目录 结构 : 


[root@saltstack-nodel ~]# mkdir -p /srv/salt/prod/pcre/files/ 
[root@saltstack-nodel ~]# mkdir -p /srv/salt/prod/nginx/files 
[root@saltstack-nodel ~]# mkdir -p /srv/salt/prod/php/files 


创建 完 目 录 结构 后 ， 需 要 把 源码 包 放 置 在 各 个 服务 目录 的 files 目 录 下 : 


# wget http://nginx.org/download/nginx-1.8.0.tar.gz 
# cp nginx-1.8.0.tar.gz /srv/salt/prod/nginx/files/ 
# wget http://cn2.php.net/distributions/php-5.6.9.tar.gz 


3.9 ”业务 应 用 模块 


企 前 面 的 章节 我 们 完成 了 Nginx+ PHP (FastCGI) 环境 中 基础 模块 的 编写 ， 实 际 的 生产 环境 中 ， 不 建议 在 top.sls 里 面 写 上 很 多 SLS 的 应 用 ， 和 前 面 使 用 的 Haproxy+Keepalived 一 样 ， 我 们 可 以 基于 业 
务 进行 引用 ,或 者 基于 角色 进行 引用 。 比 如 一 个 Web 站 点 ， 现 在 我 们 创建 一 个 Web 服 务 的 目录 ， 然 后 在 里 面 编写 SLS， 把 需要 的 模块 include 进 来 ， 把 单独 需要 进行 配置 的 进行 编写 就 可 以 了 。 那 么 我 们 现在 
就 可 以 在 业务 中 应 用 了 。 


第 4 章 ”扩展 SaltStack 组 件 


前 几 章 我 们 已 经 了 解 了 SaltStack 各 个 组 件 以 及 通过 一 个 案例 去 熟悉 它 的 各 种 应 用 ， 从 这 章 开始 我 们 通过 Python 语 言 去 扩展 SaltStack 组 件 。 虽 然 SaltStack 自 带 的 各 种 组 件 在 功能 上 已 经 很 成 熟 了 ， 但 是 
有 时 候 也 无 法 满足 企业 各 种 复杂 的 环境 。 本 章 的 主要 内 容 就 是 如 何 去 扩展 SaltStack 各 个 组 件 。 因 为 SaltStack 是 基于 Python 语 言 开发 的 ， 所 以 本 章 会 涉及 Python 语 言 相 关 知识 。 考 虑 到 有 些 不 了 解 Python 


4.1 扩展 Grains 


在 第 2 章 我 们 已 经 了 解 了 Grians 组 件 的 相关 知识 ， 在 SaltStack 案 例 章节 中 也 了 解 了 如 何 去 它 。 虽 然 Grains 能 收集 得 到 Minion 的 各 种 静态 信息 ， 但 是 为 了 满足 更 加 复杂 的 应 用 ， 希 望 Grains 能 根据 我 们 的 
需求 去 采集 一 些 信息 ， 例 如 在 大 批量 机 器 中 我 们 区 分 每 台 设备 的 业务 角色 ， 这 个 时 候 我 们 就 可 以 自 定义 一 个 Grains， 让 Minion 通 过 外 部 数据 (CMDB) 去 采集 自己 的 业务 汇报 给 Master。 在 大 规模 的 配置 
中 我 们 就 可 以 利用 这 个 Grains 值 去 更 加 方便 地 管理 配置 各 个 角色 的 设备 。 


4.2 扩展 Module 


第 2 章 也 介绍 了 如 何 去 使 用 Module，SaltStack 默 认 已 经 自 带 很 多 Modules 可 以 方便 地 直接 使 用 。Saltstack 所 有 的 模块 其 实 都 是 Python 脚本 ， 脚 本 默认 路 径 是 在 当前 Python 版 本 的 site- 


packages/salt/modules/ 下 。 每 个 脚本 就 是 一 个 模块 ， 脚 本 里 面 的 一 个 函数 就 是 Module 的 一 个 方法 。 


4.3 扩展 state 


在 日 常 做 配置 管理 的 时 候 ， 其 实 我 们 大 部 分 时 间 都 是 在 写 或 者 维护 state sls 文 件 。 每 次 有 新 需求 的 时 候 可 能 面 对 编 写 大 量 的 state。 当 然 SaltStack 也 自 带 很 多 state， 如 果 有 能 满足 需求 的 state， 我 们 可 


以 直接 使 用 它 。 但 是 如 果 发 现 自己 有 些 业务 比较 复杂 ，Saltstack 没 有 一 个 比较 合适 的 state 的 话 ， 我 们 还 可 以 通过 Python 语言 去 定义 一 个 state。 整 个 定义 过 程 跟 上 一 节 如 何 去 扩 展 Module 原 理 很 相似 。 


4.4 ext_pillar 与 ext_nodes 


在 这 一 节 我 们 将 不 


在 前 面 3 小 节 的 知识 里 面 都 有 一 些 关于 Python 语言 编写 的 能 力 要 求 。 相 对 于 不 懂 Python 语 言 的 读者 来 说 是 比较 头疼 的 一 个 问题 。 难 道 不 会 编写 Python 语言 我 们 就 不 能 扩展 SaltStack 了 吗 ” 其 实 不 然 ， 


4.5 SaltStack git 文 件 服务 器 


Sa 


Ed 


编写 Python 代 码 ， 就 可 以 完成 对 Pillar 跟 Nodes 的 扩展 。 


在 前 面 章 节 (参见 2.3 节 ) 我 们 也 介绍 了 通过 gitfs 管 理 Pillar 数 据 ， 其 实 state 也 支持 gitfs， 前 面 我 们 提 到 的 所 有 state sls 文 件 都 是 在 /srv/salt/ 目 录 下 ， 其 实 这 是 SaltStack 的 默认 fileserver 定 义 的。 默认 
tStack 的 fileserver 是 roots， 而 file_roots 默 认 Base 环 境 定义 的 路 径 就 是 在 /srv/salt/ 目 录 下 ， 可 以 通过 Master 配 置 文 件 查看 默认 的 fileserver_backend。 关 于 当前 SaltStack 的 file_lists 和 gitfs 文 件 信 息 都 
在 Master 配 置 文件 定义 的 cachedir 目 录 下 有 相关 的 记录 。 另 外 需要 注意 的 是 ， 如 果 你 配置 了 git fileserver 需 要 确保 Master 上 安装 了 gitfs_provider 驱 动 。SaltsStack 默 认 的 gitfs_provide 是 GitPython， 你 只 


pip install GitPython 即 可 ， 当 然 也 支持 你 指定 的 其 他 gitfs_provider 驱 动 。 


#fileserver backend: 


# ~- roots 


然后 我 们 查看 roots 的 定义 的 file_roots 路 径 : 


#file roots: 


base: 


stage: 


prod: 


井 井 井 井 井 井 间 间 提 


- /srv/salt/ 


- /srv/salt/stage/ 
- /srv/salt/dev/states 


- /srv/salt/prod/services 
- /srv/salt/prod/states 


SaltStack 除 了 支持 默认 roots fileserver 以 外 ， 还 支持 git fileserver， 这 样 我 们 就 可 以 把 所 有 的 state sls 文 件 放 到 GitHub 上 方 ， 便 我 们 以 后 统一 管理 。 这 节 就 通过 一 个 简单 的 案例 去 统一 管理 多 环境 下 的 
state.sls 文 件 首先 我 们 来 看 一 下 GitHub 项 目 ， 我 这 里 新 建 了 两 个 guthub branch，branch 名 称 都 是 以 SaltStack 的 环境 命名 的 。 一 个 branch 是 stage， 一 个 branch 是 pro。 两 个 branch 的 代码 是 一 样 的 : 


SaltStackQeMaster: git branch -a 


* pro 


remotes/origin/HEAD -> origin/pro 
remotes/origin/pro 
remotes/origin/stage 


查看 GitHub 项 


里 面 


的 所 有 文件 : 


SaltStack@Master: tree 


>» README .md | 
cpisl8la 


—— epis. 


sls 


上 一 grains 


States 


example.py 


| 一 一 _modules 


Puppet .py 


FF prosls 
stage.sls 
_states 


ansible.py 


top.sls 


首先 我 们 来 看 看 入 口 


文件 top.sls。 它 会 incule Pillar 生 


有 面 定 义 的 environment 的 环境 名 称 的 sls 文 件 ， 例 如 你 是 stage 环 境 ， 它 就 会 inculde stage.sls 文 件 或 者 stage 目 录 下 的 init.sls 文 件 。 这 个 Pillar 的 环境 


需要 在 Master 配 置 文件 里 面 开启 pillar_ opts:True 选 项 才能 读 取 minion 的 environment 值 : 


include: 


=- {{ pillar['master'] ['environment'] 


It 


再 看 我 们 定义 的 stage.sls 和 pro.sls 文 件 ， 以 及 它 inculde 的 state sls 文 件 : 


SaltStackQ@Master: cat states/stage.sls 
{{ pillar['master'] ['environment'] }}: 
ts 


cpis 
SaltStack@Master: cat states/cpis.sls 


httpd-pro: 
pkg.install 


ed: 


#id 为 httpd-pro 


- name: httpd 
SaltSstack@Master: cat states/stage.sls 
{{ pillar['master'] ['environment'] }}: 

1 


= Cpisl 


Saltstack@Master: cat states/cpisl.sls 


httpd-stage: 
pkg.install 


ed: 


#id 为 httpd-stage 


- name: httpd 


下 面 我 们 来 看 两 台 minion 的 环境 ， 一 台 是 stage 环 境 ， 一 台 是 pro 环 境 : 


SaltSstack@Master: salt \* pillar.get master:environment 
Minion01: 


stage 
Minion: 
pro 
GitHub 项 目 里 面 的 state.sls 文 件 编写 好 之 后 ， 我 们 需要 修改 Master 的 fileserver 配 置 了 ， 然 后 重启 Master 服 务 ， 使 用 salt-run fileserver.update 命 令 更 新 state 文 件 : 


fileserver backend: 

— git 
gitfs remotes: 

=- https://github.com/shencan/saltstates.git 
gitfs root: states 


接 下 来 我 们 就 可 以 执行 state.sls 或 者 state.highstate 了 。 指定 环境 运行 state.sls: 


SaltStack@Master: salt \* state.sls cpisl saltenv=stage 
Minion01: 


: httpd-stage 

pkg.installed 

httpd 

: True 

: Package httpd is already installed. 
15:51:04.894714 

1081.136 ms 


Summary 

Succeeded: 1 

Failed: 0 

Total states run: 二 
Minion: 


: httpd-stage 

pkg.installed 

: httpd 

; True 

: Package httpd is already installed. 
15:51:06.014782 


980.017 ms 
Summary 
Succeeded: 1 
Failed: 0 
Total states run: 1 


运行 state.highstate 时 top.sls 会 根据 当前 的 environment 来 inculde 对 应 的 stats.sls 文 件 : 


SaltStack@Master: 

Minion01: 

: httpd-stage 
pkg.installed 
* httpe 

; True 

: Package httpd is already installed. 
15:58:58.702583 

996.88 ms 


#3 引用 了 cpisl.sls 


Changes: 
Summar; 


Succeeded: 1 
Failed: 0 


run: 1 


: httpd-pro 
pkg.installed 
httpd 

; True 

: Package httpd is already installed. 
15:59:00.308802 

1068.354 ms 


#3 引用 了 cpis.sls 


Summary 
Succeeded: 1 
Failed: 0 


Total states run: 二 


5.1 


第 5 章 


SaltStack 本 身 提供 salt (/usr/bin/salt) 来 与 其 交互 ; 但 是 有 时 我 们 希望 的 不 是 手动 到 服务 器 上 去 操作 ; 这 个 时 候 就 
与 其 交互 的 途径 : 


“ 只 有 在 salt Master 本 机 才能 使 用 Python API。 


“ 可 以 在 远程 通过 HTTP 调 用 的 API。 


两 种 应 


场景 和 使 


方式 各 有 不 同 ， 本 章 将 分 别 介绍 这 两 种 方式 的 工作 原理 以 及 使 


通过 Python API 调 用 


第 三 方 调用 SaltStack 


方式 。 


a 


需要 通过 第 三 方 来 调 


SaltStack， 除 了 salt 命 令 之 外 ，SaltStack 还 提供 了 另外 两 个 


Python API 就 是 给 Python 使 用 的 AP1， 而 Python 作为 后 端 语言 需要 相应 的 运行 环境 ， 即 需要 在 后 端 服务 器 上 运行 ， 而 且 由 于 内 部 通信 机 制 的 限制 ， 必 须 在 SaltStack Master 服 务 上 运行 ， 由 于 是 直接 与 
Master 通 信 ， 相 对 于 HTTP 的 API 需 要 传输 和 中 转 ， 性 能 会 有 微弱 的 优势 。 


5.2 ”通过 RESTful API 调 用 


当 我 们 需要 在 其 他 机 器 或 者 通过 第 三 方 调用 SaltStack 时 ， 通 过 SaltStack Python API 可 能 就 不 是 那么 方便 了 ， 这 个 时 候 我 们 可 以 使 用 SaltStack 提 供 的 基于 RESTful 风 格 的 HTTP 的 API。 这 里 要 注意 的 一 
点 是 SaltStack 的 API 模 块 并 不 是 SaltStack 内 置 的 ， 而 是 另外 一 个 独立 的 模块 ， 需 要 单独 安装 并 部 署 。 


SaltStack 官 方 有 独立 的 Salt-API 的 项 目 ， 项 目地 址 : https://github.com/saltstack/salt-api。 


第 6 章 ”SaltStack 架 构 扩 展 


任 前 面 章节 中 ， 我 们 所 有 的 工作 基本 上 都 是 基于 Master-Minion 这 样 的 架构 ， 这 也 是 Saltstack 最 传统 和 典型 的 一 个 架构 ， 但 是 业务 场景 总 是 多 变 的 ， 为 了 满足 更 多 的 应 用 场景 ，SaltStack 提 供 了 一 些 
扩展 架构 ， 包 括 无 Master、 多 Master、Salt Syndic 和 Salt SSH， 本 章 将 介绍 这 几 种 架构 。 在 实际 的 生产 环境 中 ， 用 户 可 以 根据 自己 的 需求 来 进行 合理 的 选择 。 


6.1 无 Master 架 构 


SaltStack 支 持 无 主 (Masterless) 的 架构 ， 也 就 是 可 以 没有 Master， 直 接 用 salt-minion 单 机 来 使 用 SaltStack 的 相关 功能 。 由 于 Minion 包 含 很 多 的 功能 ， 所 以 你 可 以 独立 地 运行 它 。 比 如 用 来 满足 以 
下 的 需求 : 


' 设置 一 个 Master Server 通 过 states。 
“ 直接 在 本 地 使 用 salt-call 命 令 使 用 SaltStack 的 各 种 功能 ， 而 不 用 连接 到 Master。 


“ 无 Master states 完 全 从 Minion 本 地 文件 运行 states。 


6.2 多 Master 架 构 


我 们 在 生产 中 使 用 某 一 个 应 用 服务 一 般 首 先 要 注意 到 的 就 是 高 可 用 了 ， 也 就 是 说 我 们 在 使 用 SaltStack 的 时 候 如 果 Master 服 务 器 出 现 故 障 ， 就 无 法 管理 Minion 了 。 为 此 Salt 在 0.16.0 版 本 加 入 了 multi- 
master 的 特性 ， 就 是 多 Master， 在 这 种 架构 下 所 有 的 Minion 将 连接 到 所 有 配置 的 Master 上 去 。 这 样 当 其 中 一 个 Master 出 现 故 障 ， 我 们 可 以 使 用 另外 的 Master 继 续 提供 服务 ， 并 不 会 影响 到 我 们 的 正常 使 


6.3 Salt Syndic 


我 们 使 用 多 Mater 的 功能 解决 了 Master 单 点 故障 的 问题 ， 那 么 保证 高 可 用 之 后 ， 我 们 接 下 来 要 考虑 的 就 是 性 能 了 ， 是 的 ， 如 果 你 管理 的 Minion 数 以 万 计 ， 一 个 Master 可 能 就 有 一 些 吃 力 了 ， 我 们 需要 
更 加 灵活 的 架构 ， 那 么 该 Salt Syndic 出 场 了 。 


一 个 基本 的 Salt 配 置 方 式 是 一 个 Master 管 理 一 群 Minion， 这 就 是 单一 的 拓扑 结构 。 那 么 为 了 增加 多 种 拓扑 架构 的 支持 ，Salt 在 0.9.0 版 本 中 加 入 了 Salt Syndic。Syndic 建 立 在 中 心 Master 和 Minions 之 
间 ， 并 人 允许 多 层 分 级 Syndic。 


Syndic 运 行 在 一 个 Master 上 ， 并 且 连 接 到 另外 一 个 Master ( 比 它 更 高 级 别 ， 我 们 后 面 称 之 为 “高 级 Master”) ， 这 里 需要 强调 的 是 Syndic 必 须 运行 在 一 个 Master 上 。 


然后 Syndic Minion 所 连接 的 高 级 Master 就 可 以 控制 连接 到 运行 Syndic 的 Master 上 的 Minion。 这 旬 话 稍 有 点 绕 ， 如 果 一 下 子 没 明 白 ， 先 加 深 点 记忆 “Syndic 必 须 运行 在 一 个 Master 上 ”， 然 后 再 回 过 
头 看 就 好 理解 了 。 


6.4 Salt SSH 


在 上 面 我 们 一 直 在 围绕 着 需要 在 受 控 端 安装 Minion 的 前 提 下 进行 架构 扩展 ， 那 么 如 果 在 实际 的 环境 中 ， 由 于 某 些 限制 无 法 在 受 控 端 服务 器 安装 Minion 客 户 端 ， 该 怎么 办 呢 ? 


Salt 在 版 本 0.17.0 当 中 ， 引 入 了 新 的 传输 系统 ， 它 支持 通过 SSH 通 道 来 实现 Salt 的 通信 。 通 过 这 种 方式 ， 我 们 可 以 直接 通过 SSH 通 道 在 远程 主机 上 执行 使 用 SaltStack， 而 不 需要 在 远程 主机 上 运行 Salt 
Minion， 同 时 又 能 支持 SaltStack 的 大 部 分 功能 ， 而 且 Salt Master 也 不 需要 运行 了 。 这 样 ， 也 就 实现 了 免 客 户 端 方式 的 部 署 和 实施 。 


但 是 由 于 无 客户 端 本 身 的 局 限 性 Salt SSH 并 不 能 完全 取代 标准 的 Salt 通 信 方 式 ， 只 是 简单 地 提供 了 一 个 基于 SSH 通 道 的 可 选 方式 ， 这 种 方式 不 需要 ZeroMQ 和 远程 Agent 的 支持 ; 整体 的 工作 流程 和 基于 
客户 端 架构 大 致 相同 。 但 必须 意识 到 ， 通 过 Salt SSH 的 执行 速度 会 远 远 低 于 ZeroMQ 支 持 的 标准 的 Salt 通 信 方 式 。 


安装 Salt-ssh 如 下 : 


[root@saltstack-nodel ~]# yum install -y salt-ssh 


在 传统 的 Master 和 Minion 的 架构 中 ，Minion 会 主动 连接 Master， 所 以 Master 不 需要 手工 配置 目标 系统 的 信息 。 但 是 使 用 Salt SSH， 控 制服 务 器 就 需要 这 些 。SaltStack 使 用 Rosters 来 管理 这 些 数据 。 


第 7 章 SaltStack Web 平 台 开 发 


灿 哥 说 : 每 个 运 维 人 都 有 一 个 自动 化 平台 梦 。Web 化 运 维 应 该 算是 自动 化 运 维 中 的 一 部 分 ; 


Web 并 不 仅仅 是 将 后 端的 命令 或 者 操作 放 到 前 段 ， 真 正 的 意义 是 将 之 前 只 有 专业 人 员 才 能 做 的 寺 


运 维 的 门槛 降低 ， 效 率 提高 ， 来 让 运 维 做 一 些 更 有 价值 的 事情 。 


本 章 将 介绍 如 何 构建 一 个 非常 简单 的 Web 平 台 ， 进 行 数据 收集 与 展示 。 


7.1 SaltStck Web 平 台 开 发 流程 


Web UI 实际 上 就 是 把 Salt 在 后 端 提供 的 功能 ， 用 一 种 使 用 门槛 更 低 的 方式 提供 给 大 家 。 


这 里 我 们 尽量 使 用 最 简单 的 方式 来 让 平台 能 够 工作 起 来 ; work is better than perfect。 


实际 生产 中 相信 大 家 肯定 能 做 出 一 个 更 好 的 平台 。 


情 通过 一 种 直观 友好 的 形式 提供 出 来 ， 让 那些 并 不 具有 相应 专业 知识 的 人 也 能 去 做 相应 的 事情 ， 将 部 分 


在 做 之 前 我 们 大 致 分 如 下 几 步 : 1) 确定 技术 栈 ，2) 做 原型 图 ，3) UI 设 计 。 下 面 分 别 介绍 。 


7.2 与 SaltStack 联 动 


API。 这 里 需 


在 我 们 确定 技术 栈 的 时 候 就 已 经 确定 了 Web 与 SaltStack 联 动 的 方式 : 通过 Client 本 地 调 


时 候 也 方便 。 实 际 上 在 这 里 改 成 通过 HTTP 的 API 调 用 也 非常 简单 。 


这 里 我 们 只 需要 三 个 方法 : 
1) 同步 获取 所 有 机 器 信息 。 
2) 异步 执行 命令 。 

3) 获取 sls。 


三 个 方法 加 一 块 ， 代 码 也 不 多 ， 如 下 所 示 : 


做 的 就 是 封装 一 个 简单 的 SDK 方 便 Django 统 一 调用 ， 这 样 可 以 统一 管理 ， 以 后 在 调整 和 升级 的 


cat salt-dashboard/salt dashboard/api/salt api.py 


#coding=utf8 

import salt.client # 导 入 模块 

client = salt.client.LocalClient () # 初 始 化 saltstack 入 口 

def overview (request) : “# 获 取 所 有 机 器 信息 
target = request.GET.get ("target", '*')  # 获 取 请 求 中 的 target 参数 ， 默 认为 所 有 
Ey 

grains = client.cmd (target, 'grains.items') # 针 对 target 执行 命令 

except: 


grains = {} # 如 果 出 错 ， 将 grains 设置 为 空 
return grains # 返 回 target 
def execute (*x*kwargs) : ”# 执 行 命令 函数 
return client.cmd async (**kwargs) # 直 接 将 命令 发 送 到 后 端 ， 并 返回 任务 ID 
def get_state (target): # 获 取 所 有 可 用 的 状态 
Ee 


states = client.cmd (target, 'state.show top')  # 调 用 pythonAPI 获取 可 用 状态 


except: 
states = {} # 如 果 失 败 将 状态 设置 为 空 
return states # 返 回 状 态 
if _ name ==" main ": # 如 果 执 行 执行 ， 调 用 下 面 的 命令 ， 作 为 测试 


“print get state ('minion1') 


7.3 ”实践 


上 面 我 们 介绍 了 基本 的 规划 ， 知 道 了 我 们 想 要 的 东西 是 什么 以 及 大 概 的 样子 ， 下 面 我 们 把 想法 落实 下 去 。 


第 8 章 Hack SaltStack 


在 实际 的 使 用 过 程 中 很 有 可 能 发 现 不 如 人 意 的 地 方 ， 或 者 想 通 过 Salt 进 行 偷懒 的 ， 这 个 时 候 如 果 能 够 对 Salt 进 行 小 范围 的 二 次 开发 就 能 解决 很 大 的 问题 ， 并 且 少 走 很 多 弯路 。 


本 章 将 通过 两 个 小 例子 试图 抛砖引玉 ， 对 SaltStack 进 行 二 次 开发 : 


1) 实现 命令 执行 结果 的 自动 采集 与 监控 ， 做 到 所 有 的 命令 执行 后 将 结果 存储 到 数据 库 ， 并 且 如 果 执 行 命令 发 生 错 误 实时 报警 。 


2) 实现 系统 信息 变更 的 自动 上 报 ， 对 服务 器 信息 进行 采集 与 监控 ， 做 到 所 有 客户 端的 信息 进入 存储 ， 并 且 有 变更 发 生 时 记录 变更 。 


8.1 实现 命令 执行 结果 的 自动 采集 与 监控 


我 们 在 实际 运 维 中 经 常会 执行 很 多 命令 ， 而 默认 Salt 本 身 的 命令 结果 是 在 本 地 以 文件 的 形式 来 保存 的 ， 对 于 第 三 方 管理 来 说 ， 并 不 是 很 方便 ; 而 且 在 对 很 多 机 器 执行 命令 的 时 候 ， 其 中 个 别 出 问 题 ， 在 
去 盯 着 屏幕 或 者 肉眼 扫描 文件 来 查找 也 比较 麻烦 ; 所 以 我 想 在 尽 可 能 不 动 Salt 代 码 的 情况 下 能 够 把 结果 统一 保存 到 数据 库 中 ， 这 样 方便 第 三 方 调用 。 保 存 的 同时 ， 能 够 对 执行 结果 有 一 个 基本 判断 ， 比 如 有 


执行 出 错 的 时 候 马 上 通知 。 


思路 : 通过 自 定义 retuner， 来 实现 结果 的 监控 (实时 查看 是 否 执行 出 错 ) 与 管理 (将 结果 放 到 需要 的 地 方 ) ; 通过 fluent 实 现 对 结果 的 采集 与 入 库 。 
Salt 本 身 自 带 returner: http://docs.saltstack.com/en/latest/ref/returners/ 


工作 流 : 


1) 建立 用 来 存储 结果 的 表 。 


自 定义 retuner， 来 实现 返回 结果 的 控制 。 


2 


3) 配置 fluent， 实 现 结果 的 采集 与 入 库 。 


8.2 ”实现 系统 信息 变更 的 自动 上 报 


资产 管理 在 一 个 中 大 型 公司 中 占 着 举足轻重 的 地 位 ， 而 资产 管理 中 必 不 可 少 的 都 包含 着 对 资产 的 一 些 硬件 /软件 信息 。 


Saltstack 中 提供 了 一 个 Grains 的 系统 ， 在 最 初 ，Grains 会 自动 收集 本 机 的 一 些 硬件 信息 /系统 信息 ， 包 括 CPU、 内 存 、 系 统 等 固化 详情 。 用 户 也 可 以 为 服务 器 自 定义 Grains， 我 们 可 以 轻松 地 将 其 收集 
起 来 ， 快 速 变现 成 一 个 资产 管理 系统 。 
对 于 常规 的 资产 管理 系统 来 说， 在 生产 业务 中 ， 不 乏 某 些 服务 器 上 的 业务 经 常 变动 ， 这 势必 将 引出 一 个 令 人 抓 狂 的 工作 ， 要 去 不 断 地 修改 当前 资产 中 对 应 业务 信息 ， 随 着 数量 的 增加 ， 周 期 的 减少 ， 
们 绝对 不 能 容忍 这 一 繁杂 的 工作 持续 下 去 。 怎 么 办 ? 将 业务 信息 作为 Grains 直 接 赋予 服务 器 ， 将 该 信息 设置 在 数据 的 最 底层 ， 减 少 人 工 干预 ， 构 建 自动 上 报 系统 。 


SaltStack 中 每 一 个 子 系统 ， 都 是 一 个 原子 系统 ， 因 为 我 们 可 以 利用 这 些 原子 系统 重新 组 合 或 利用 。 在 0.10 版 本 中 ，SaltStack 新 增 了 Event 系 统 ，Event 系 统 绑 定 在 本 地 的 ZeroMQ PUB 接口 ， 构 建 在 
二 


此 Master 和 Minion 之 间 的 任何 通信 均 会 产生 对 应 的 Event。 每 一 个 Event 均 会 有 个 tag 标 签 ， 可 以 通过 这 个 标签 快速 进行 过 滤 。 除 此 之 外 ， 每 个 Event 都 有 一 个 标准 的 数据 结构 ， 其 数 


SaltStack 的 最 底层 ， 因 
据 类 型 是 Python 中 dict 类 型 ， 其 中 包含 有 关 事件 的 详细 信息 。 


第 9 章 “SaltStack 排 错 


代码 嘛 ， 人 写 的， 总 有 考虑 不 到 的 情况 或 者 环境 ; 甚至 由 于 天 气 原 因 或 者 服务 器 心情 问题 ， 会 出 现 各 种 个 样 莫 名 其 妙 的 问题 。 虽 然 由 于 天 气 原 因 和 服务 器 心情 导致 的 错误 咱们 很 难 解决 ) 但 是 由 于 人 为 
的 配置 原因 或 者 代码 问题 导致 的 问题 ， 咱 们 还 是 可 以 解决 的 。 可 能 出 问题 的 地 方 很 多 ， 不 可 能 在 这 里 一 一 列举 解决 方案 ， 但 是 我 们 可 以 提供 一 些 思路 和 方法 论 以 及 咨询 渠道 来 帮助 大 家 解决 实际 遇 到 的 问 


题 。 本 章 先 介绍 SaltStack 排 错 思路 ， 然 后 根据 这 个 排 错 思路 解决 一 个 实际 问题 。 


9.1 排 错 思路 


当 我 们 遇 到 问题 时 ， 应 该 有 一 个 解决 问题 的 思路 ， 这 样 有 利于 有 条 不 京 地 去 解决 。SaltStack 的 排 错 思 路 如 下 : 
1) 确保 整体 外 界 环 境 正常 。 
2) 定位 问题 。 


3) 求助 。 


4) Bug 反 馈 。 


9.2 ” 排 错 实战 


这 里 我 们 自 定义 一 个 有 问题 的 grains， 来 一 步 步 定位 问题 。 


模拟 问题 如 下 : 


# cat /srv/salt/ grains/switchl .py 
aaaaa 
def getSwitch () : 


return {"switch1": "switchlist"} 


我 在 一 个 正常 的 grains 模 块 里 头 部 加 了 一 行 aaaa， 这 样 在 grains 执 行 的 时 候 就 不 会 如 我 们 期 望 的 那样 执行 。 而 这 个 很 可 能 是 我 们 一 开始 没有 注意 到 的 ， 下 面 我 们 尝试 去 最 终 定位 到 这 个 问题 。 


上 面 我 们 定义 了 一 个 自 认 为 满意 的 grains， 下 面 来 进行 同步 : 


[root@localhost grains]# salt '118.26.200.7' saltutil.sync all 
192.168.200.7: 

grains: 

— grains.switchl 

modules: 

outputters: 

renderers: 

returners: 

states: 


这 里 我 们 已 经 看 到 grains 模 块 swtich1 已 经 同步 了 ， 接 下 来 我 们 去 调 这 个 模块 : 


[root@localhost grains]# salt '192.168.200.7' grains.get Switchl 
i192.168.200.73 


1. 确 定 问题 范围 


没有 返回 我 们 所 期 待 的 “switchlist” ， 那 么 我 们 现在 就 意识 到 出 问题 了 。 下 面 我 们 就 按照 上 节 介 绍 的 步骤 进行 问题 排查 。 


运行 如 下 代码 : 


salt "118.26.200.7' test.ping 
118.26.200.7: 
True 


看 到 这 里 ， 我 们 已 经 知道 SaltStack 的 客户 端 本 身 是 正常 ， 是 局 部 问题 。 接 下 来 根据 log 进 行 排查 。 


2. 将 SaltStack 以 debug 的 形式 启动 


停 掉 SaltStack 的 Minion 服 务 : 


[root@localhost ~]# service salt-minion stop 
Stopping salt-minion daemon: 


以 debug 形 式 启动 Minion 服 务 : 


[root@localhost ~]# salt-minion -1 debug 


跟踪 log: 


[root@localhost ~]# salt-minion -1 debug 
[DEBUG ] Reading configuration from /etc/salt/minion 
[ ] Configuration file path: /etc/salt/minion 
[INFO ] Setting up the Salt Minion "118.26.200.7" 
上 ] Created pidfile: /var/run/salt-minion.pid 
[ ] Reading configuration from /etc/salt/minion 
[WARNING ] Failed to import grain Switch1，this is due most likely to a syntax error.Traceback raised: 
Traceback (most recent call last): 
File "/usr/lib/python2.6/site-packages/salt/loader.py", line 707, in genfunctions 
), fn_, path, desc 
File "/var/cache/salt/minion/extmods/grains/switchl .py", line 1, in <module> 
aaaaa 
NameError: name "aaaaa' is not defined 


由 于 SaltStack 在 启动 的 时 候 会 加 载 grains， 这 里 我 们 马上 就 可 以 看 到 switch 模 块 是 有 错误 的 。 然 后 就 可 以 针对 错误 进行 解决 即 可 。 
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我 们 对 SaltStack 已 经 有 了 比较 系统 化 的 理解 ， 但 是 SaltStack 是 不 是 仅仅 止步 于 上 面 这 些 功能 呢 ? 我 们 认为 不 是 的 ， 我 们 可 以 基于 


自动 化 运 维 的 关系 以 及 SaltStack 与 CMDB 等 ， 更 多 SaltStack 的 使 用 与 拓展 还 需要 今后 大 家 一 起 探索 。 


10.1 SaltStack 与 自动 化 运 维 


侦 


不 同 的 行业 、 不 同 的 业务 、 不 同 的 团队 对 自动 化 运 维 的 理解 都 是 有 差异 性 的 ， 那 么 如 何 解释 自动 化 运 维 ， 很 简单 ， 我 们 先 搞 
重 状态 管理 与 实时 命令 的 SaltStack 作 为 中 间 的 连接 点 很 合适 。 


10.2 SaltStack 与 CMDB 


: 击 本 本 
! 月 炬 . 


运 维 都 


FSaltStack 做 一 些 工作 来 帮助 我 们 自动 化 运 维 。 本 章 将 介绍 SaltStack 与 


F 些 什么 ， 然 后 把 这 些 内 容 自动 化 了 ， 就 是 自动 化 运 维 。 而 作为 


无 论 自动 化 运 维 的 建设 能 走 到 哪 一 层 ， 都 要 有 一 个 中 心 ， 来 保证 所 有 平台 的 一 致 性 ， 那 么 CMDB (Configuration Management Database) 是 不 错 的 选择 。 


在 运 维 生 态 体系 中 CMDB 系 统 是 必 不 可 少 的， 它 将 会 是 我 们 运 维 生 态 体系 中 最 重要 的 设备 数据 信息 来 源 。 在 我 们 日 常 运 维 维护 过 程 中 每 天 面 对 的 就 是 一 批 一 批 不 同业 务 的 机 器 。 在 机 器 数量 比较 少 的 时 
候 ， 我 们 可 能 会 选择 使 用 文件 的 方式 存储 或 者 记录 机 器 的 一 些 属性 。 但 是 当 我 们 维护 的 机 器 数量 越 来 越 多 的 时 候 ， 这 种 方式 就 显得 很 繁琐 了 ， 这 个 时 候 我 们 就 可 以 引入 CMDB 系 统 。 目 前 大 部 分 公司 CMDB 
系统 都 是 自己 开发 的 。 其 实 构建 CMDB 系 统 的 时 候 不 要 把 整个 系统 架构 设计 得 很 复杂 ， 有 些 人 总 是 想 在 一 个 系统 上 面 能 实现 其 他 的 本 不 属于 由 它 实现 的 功能 ,不 然 写 出 来 的 系统 总 是 一 个 半成品 ， 既 然 我 们 
构建 CMDB 系 统 的 目的 只 是 存储 一 些 日 常 维护 服务 器 的 常用 属性 就 行 ， 所 以 实现 CMDB 系 统 的 时 候 我 们 只 需要 简单 实现 上 述 功 能 即 可 。 但 是 我 们 需要 考虑 到 后 续 的 架构 扩展 以 及 我 们 后 续 构建 运 维 自动 化 生 
态 体 系 ， 所 以 我 们 的 CMDB 系 统一 定 要 有 一 定 的 开放 性 ,方便 我 们 在 其 他 运 维 生 态 体 系 中 进行 交互 。 比 如 我 们 要 有 API 功 能 实现 我 们 CMDB 系 统 数 据 的 增删 改 查 等 功能 。 关 于 CMDB 系 统 中 设备 的 属性 定 
义 ， 可 以 根据 实际 工作 中 情况 来 确定 ， 比 如 我 需要 明确 某 台 机 器 的 在 CMDB 中 的 唯一 标识 符 、 机 器 所 在 的 环境 、 机 器 的 业务 角色 、 设 备 的 IP 地 址 以 及 设备 的 一 些 简要 硬件 信息 、 机 器 位 置 系统 等 ， 比 如 某 公 
司 的 常用 属性 如 图 10-4 所 示 。 


i 


abcdefg p-rabbitmq-1.1.1. Rabbitmq ee MI1.xlargw 


图 10-4 某 公 司 的 常用 属性 


这 些 属性 都 是 我 们 在 日 常 运 维 过 程 中 经 常 使 用 的 信息 ， 其 他 不 必要 的 信息 无 需 加 入 ， 不 然 日 后 难以 维护 。 大 家 可 以 根据 自己 的 实际 情况 去 定义 这 些 属 性 。 还 有 一 点 就 是 CMDB 系 统 要 有 的 API，API 形 
式 ， 目 前 采用 Restful API 比 较 流行 。 有 了 API 之 后 我 们 看 到 通过 其 他 的 方式 在 任何 地 方 都 可 以 操作 我 们 的 CM DB 系统 ， 比 如 我 现在 想 对 全 网 生产 环境 的 Rabbitmq 机 器 执行 一 个 操作 ， 这 个 时 候 我 们 就 可 以 请 
求 CMDB API 拿 到 我 们 全 网 生产 环境 Rabbitmq 的 IP 地 址 或 者 主机 名 信息 。 也 方便 我 们 日 后 与 其 他 运 维 组 件 进行 集成 。 


下 面 我 们 尝试 基于 SaltStack 的 理念 来 构建 一 个 灵活 强大 的 CMDB。CMDB 最 重要 的 两 块 功能 如 下 : 


1) 信息 采集 


2) 信息 查找 


是 不 是 很 熟悉 ， 一 个 采集 信息 ， 一 个 查找 信息 ; 有 没有 发 现 SaltStack 本 身 的 grains 和 pillar 就 是 信息 采集 ，SaltStack 的 Target 就 是 信息 查找 ; 而 且 SaltStack 的 Grains 和 Pillar 支 持 自 定义 可 以 自由 拓展 ， 
采集 任何 需要 的 信息 ; 而 Target 的 可 以 基于 任意 字段 信息 匹配 ， 并 且 支 持 基 本 的 逻辑 (and，or，not) 的 操作 ; 那 是 不 是 说 ，SaltStack 本 身 就 是 一 个 CMDB 呢 ? 


比如 我 想 知道 8 核心 CPU 的 机 器 数量 ， 如 下 所 示 : 


salt -C 'G@num cpus:8' test.ping | wc -1 


得 出 的 结果 再 除 以 2 (每 台 机 器 会 有 2 行 输出 ) ， 比 如 我 想 知 道 我 centos 的 服务 器 有 那些 ， 如 下 所 示 : 


salt -C 'GQ@os:CentOS' test.ping 


当然 直接 以 这 样 的 方式 把 SaltStack 当 作 CMDB 使 用 。 不 过 在 使 用 的 便捷 性 、 性 能 以 及 功能 上 可 能 还 会 有 一 些 不 足 ， 所 以 需要 做 一 部 分 开发 工作 。 下 面 提供 一 个 基本 的 思路 。 


